Firefox’un da açığı var
Comodo, Firefox’un son sürümünde de ‘yeni ve kritik bir açık’ olduğu konusunda uyardı.
Siber güvenlik alanında geliştirdiği çözümlerle dikkat çeken Comodo, Firefox’un son sürümünde de ‘yeni ve kritik bir açık’ olduğu konusunda uyardı. Uzmanlar Firefox'un Man in The Middle saldırılarına imkan veren bir zafiyeti olduğunu belirtiyor. Bu zafiyetten Firefox tabanlı Tor, Browser’da etkileniyor.
Firefox'da keşfedilen zafiyet ile kişisel güvenlik tehlike altına giriyor. Man in The Middle olarak belirtilen ‘ortadaki adam’ saldırısı ile saldırganlar kurbanlarının verilerine erişebiliyor ve manipüle edebiliyor. Firefox’taki bu açıktan kurtulmanın yolu da kullanıcıların yazılımlarını 20 Eylül 2016’da yayınlanan yeni sürüme göre güncellemelerinden geçiyor. Firefox’taki güvenlik açığı kod yürütme işlemine neden olabiliyor, aynı zamanda diğer kurulmuş sertifika eklemelerini de etkileyebiliyor. Yüzlerce güvenli sertifika sağlayan otoritelerin herhangi birinden Firefox’un eklentilerinin indirilebildiği addons.mozilla.org adresi için sahte sertifika elde etmek zor olmasına rağmen, siber saldırganların bunu da aşması dikkat çekiyor.
Man in The Middle Attack (MitM) Nedir?
Saldırganın; havaalanları, restoranlar, işyerleri vb. internetin
genel kullanıma açık olduğu güvensiz alanlarda kullanıcı ile
internet sitesi arasındaki bağlantıyı kesip veya değiştirerek
kullanıcının hassas bilgilerine erişim sağlamasını mümkün kılan bir
saldırı yöntemidir. Buna; güvenli kabul ettiğimiz SSL bağlantıları
ve HTTP den HTTPS’e geçiş yapan siteler de dahildir. MitM yöntemi
çok ciddi network bilgisine ihtiyaç duyulmadan da uygulanabilecek
araçlara entegre olarak karşımıza çıkmaktadır. Bu araçlar
kullanılarak sadece birkaç tıklama ile saldırı yapılacak sistemler
belirlenebilir. Ardından; uygulanacak MitM ile network trafiği
rahatlıkla saldırgan üzerine yönlendirilebilir. Kullanılan araç
içine yerleşik sertifika sistemi sayesinde SSL bağlantılarının da
taklidi yapılarak kişisel güvenliğiniz ile ilgili bilgilere
ulaşılabilir. Bunu önlemek için, e-posta hizmeti sağlayıcıları
Hypertext Transfer Protocol Secure (HTTPS) kullanmaya başladılar.
Bu; sunucu ve istemci arasındaki bağlantıyı şifrelemeyi sağlayan
SSL ile birlikte kullanılan bir Hypertext Transfer Protocol (HTTP)
kombinasyonudur. MitM saldırıları farklı şekillerde
gerçekleştirilebilir:
- Saldırgan bir ortak ağ (halka açık yerler) üzerinden aktarılan
iletişimi dinliyordur.
- Bu ağ üzerinden kurban internette zararsız sayılabilecekler
arasında olan bir haber sitesine göz atıyordur.
- Saldırgan, kurban ile web sitesi arasındaki bağlantıyı keser ve
kurbanı önceden belirlediği IFRAME’e (Sitede html belgesinin içine
yerleştirilmiş başka bir html belgesi) yönlendirir.
- Kurbanın tarayıcısı, isteklerine cevap alırken, farkında olmadan
aynı zamanda site için kullanıcı bilgilerini depolayan çerezleri de
talep eder.
- Bu yanıtlar saldırganın geçerli kullanıcı olarak siteye girmesini
sağlar.
Saldırgan saldırıyı uzun tutmak için cache poisoning (URL
poisoning) yapabilir. Saldırganların MitM saldırılarında başarılı
olabilmesi için, kurbanı gerçek sunucu yerine proxy sunucusuna
yönlendirmesi gerekir.
Nasıl ortaya çıktı ?
Güvenlik açığı 6 Eylül 2016 tarihinde Tor’a karşı yapılan saldırıları anlatan @movrcx isimli bir güvenlik uzmanı tarafından ortaya çıkartıldı. Saldırganlar çoklu platform saldırılarını başlatmak için tahmini 100.000 Amerikan dolarına ihtiyaç duydu. Güncel konu Firefox’un sertifika iliştirme prosedüründe bulunuyor. Yine de, bir bağımsız güvenlik araştırmacısı tarafından yayınlanan rapora göre, 4 Eylül 2016 tarihinde gece yayınlanan kurulum versiyonuna karşı dayanıksız olmamasına rağmen, bu konu aynı zamanda Firefox stabil versiyonlarını da etkiledi. Bağımsız güvenlik araştırmacıları güncel problemin IETF onaylı HPKP (HTTP Ortak Anahtar İliştirmesi) işleminden farklı olmayan “sertifika iliştirme” denetimi için Firefox’un özel ayarlar metodunda bulunduğunu belirtti.
Sertifika iliştirme kullanıcıyı SSL sertifikaları ile sahte e-posta tarafından yapılan saldırılara karşı koruyan, kullanıcı tarayıcısının belirli Domain ya da Subdomain adresleri için sadece belirli sertifika anahtarlarını kabul etmesini veya reddetmesini sağlayan bir HTTPS özelliğidir. Çok yaygın olmamasına rağmen, HPKP standardı genellikle hassas bilgi içeren internet sitelerinde kullanılmaktadır. Bağımsız bir güvenlik araştırmacısı “HPKP kullanmak yerine kendi Mozilla sertifikaları için Firefox kendi statik anahtar iliştirme metodunu kullanmaktadır” diye açıklama yapmıştır. Statik metot uygulaması HPKP den daha zayıftır ve bu saldırı senaryosunda geçiş tanıyan kusurlu bir noktadır. Mozilla 20 Eylül 2016 tarihinde Firefox 49 sürümünü çıkarmıştır. Tor proje ekibi sadece bir günde virüsün çevrimiçi olarak ifşa olmasından sonra hatayı belirlemiştir. Tor tarayıcısı kullanıcıları versiyon 6.0.5 için güncelleme işlemini ivedi olarak gerçekleştirmelilerdir. Mozilla Firefox kullanıcıları ise otomatik güncelleme eklentilerini, tarayıcıdaki ön tanımlı özellikleri devre dışı bırakmalılardır.
